// 広告ブロックによる損失収益の回復 広告ブロックによる損失収益の回復 // 広告ブロックによる損失収益の回復 エラー保護のメッセージ 省略可

【セキスペ】平成21年秋期 午後Ⅰ 問題1 電子メールからの情報漏えいとその対策

このページでは、情報セキュリティスペシャリスト試験(SC)(現 情報処理安全確保支援士試験)、平成21年度 秋期 午後Ⅰの問1「電子メールからの情報漏えいとその対策」の問題文と解答例を掲載しています。

問題と解答(PDF)

平成21年秋期 午後Ⅰ 問題1 電子メールからの情報漏えいとその対策

平成21年秋期 午後Ⅰ 問1~問4

平成21年秋期 午後Ⅰ 問1~問4 解答

問題文

問1 電子メールからの情報漏えいとその対策に関する次の記述を読んで,設問1~5に答えよ。

A 社は,業務用機械の製造と販売を行う従業員数 800 名の会社である。営業部門に は全国 10 都市の支店を含めて 100 名の部員がいる。営業活動においては,顧客への訪問回数を増やすことによる受注拡大や,顧客からの質問への迅速な対応による顧客満 足度向上の取組みに重点を置いている。そのため、外出が中心になってもこまめに電子メール(以下,メールという)のチェックを行えるよう,日常的に PC を持ち歩く部員が多い。メールでは価格表や提案書などの機密データを社内関係者とやり取りすることが多い。また,営業部門の部員は顧客との連絡用に会社貸与の携帯電話を持ち歩いている。A 社では情報セキュリティの管理体制として情報セキュリティ委員会を 設置し,情報セキュリティ対策基準を2年前に策定している。

〔事故の発生〕

営業部門では、最近の報道で, PC の紛失や盗難による情報漏えい事故が目立っていることを受け, PC の持出しを自粛することに決めた。しかし,営業部門の部員の中には,PC を持ち出さないまでもメールの閲覧だけはしたいと考え,会社鈴与の携帯電話 の従業員用メールアドレスにメールを転送する者がいた。自粛を決めてから数か月たったある日,①会社貸与の携帯電話の紛失による情報漏えい事故が発生した。携帯電 話を紛失したこと,携帯電話端末にメールが保存されていたこと,そして,キーロック解除用の暗証番号が設定されていなかったことが情報システム部門に直ちに報告された。後日,特定の顧客にしか開示しない価格表の漏えいが確認された。

〔再発防止のための検討〕

今回の事故の報告を受け,事態を深刻に受け止めた情報システム部長は,情報システム部門の G 課長に改善策を検討するよう指示した。G 課長は,営業部門の関係者から事情を聞いた結果,情報セキュリティ対策基準及びメールシステムが情報漏えい対策の観点で不十分ではないかと考え,見直しを F 主任に指示した。

A 社の情報セキュリティ対策基準には,端末の利用とメールの利用について図1に示す規定がある。

図1

 

F 主任は,携帯電話に関して,別途定めた規程の内容と対策状況を確認した。まず, ②A 社で使用している携帯電話の場合,盗難・紛失が起きたときの事後対策を情報シ ステム部門が施せるにもかかわらず,実施していなかったので,実施した方がよいと 考えた。また,営業部門では携帯電話端末にメールを保存しており,機密データが蓄積されがちな状況となっている。そこで,携帯電話から直接メールを安全に閲覧する システム(以下, S システムという)を提供して,情報漏えいリスクを低減した方が よいと考えた。 F 主任は,これらの改善方針を情報システム部門として取りまとめ, 情報セキュリティ委員会に提示し,実現に向けた検討開始の承認を得た。

〔S システムの検討〕

検討を開始するに当たり,G 課長からは,S システムでは、既存の PC 用のリモート アクセスシステムを参考に,認証の強度が同程度かそれ以上になるようにすること, との指示があった。

携帯電話端末にメールが保存されないようにしたいとの要望や,会社貸与の携帯電話の事業者は 1 社であるといった現状を, F 主任が情報システムベンダ各社に伝えてSシステムの提案を求めたところ,Y社とZ社の2社から提案があった。 F 主任は,図 2に示すように, A 社の現在のネットワーク構成図に Y 社とZ社の提案の構成を書き加えるとともに,2社の提案の特徴を表にまとめて比較した。

A 社内では,本社,支店,自社データセンタ間を IPsec によるインターネット VPN で接続している。各種サーバは自社データセンタに設置し, ファイアウォール兼 VPN ルータ(以下,FV という)及び社外公開用サーバを含めて自社で運用している。

本社や支店の PC からインターネット上の Web サーバへのアクセスは、サーバ用セグメント上のプロキシサーバを経由している。リモートアクセス用 PC が利用するリ モートアクセスサーバは,DMZ 上に設置され,利用者認証にはワンタイムパスワード を利用している。ただし、既存の PC 用のリモートアクセスシステムは携帯電話からのアクセスに対応していない。

図2

表

F 主任は,営業部門による携帯電話の規程遵守状況から, Z 社の提案を選択したいと考え, G 課長に検討結果を報告した。しかし,G 課長は今回の事故が発生する前から既存の PC 用のリモートアクセスシステムの見直しを情報システム部長から指示さ れており, PC 用のリモートアクセスとの統合を見込める Y 社の提案も捨て難いと考えたため, F 主任と意見が一致しなかった。そこで,G 課長は情報システム部長に両案を説明して判断をゆだねたところ, G 課長の考えどおりに Y 社の提案を選択することに決まった。情報システム部長からは,今回の検討では事故の再発防止のための抜本的な解決には至っていないので,運用面での改善を含めて更に詰めるようにとの指示が加えられた。その後, F 主任は,営業部門を対象にした導入準備に取り掛かった。

設問

設問1

図 1 中の all b口に入れる適切な字句を解答群の中から選び、記号で答えよ。

解答群

ア 圧縮

イ あて先ミス

ウ 暗号化

エ 改ざん
オ 時刻同期
カ ディジタル署名

設問2

情報漏えい事故について, (1), (2) に答えよ。

(1) 本文中の下線①について,どの規定の遵守が不十分であったと考えられる
か。図1中から三つ選んで,“5.9 (1)” のように箇条と項番で答えよ。

(2) 本文中の下線①に記載されている価格表以外に漏えいした可能性が高い顧客 の情報を, 7 字以内で答えよ。また,その情報について,携帯電話の紛失が判明した後,紛失した携帯電話が戻ってこなくても,情報漏えいによる被害を受ける可能性がある顧客の特定を迅速に行えるようにするための対策を, 45 字以内で具体的に述べよ。

設問3

本文中の下線2の対策を実現するために情報システム部門が利用する,携帯電
話サービスによって提供される管理上の機能を, 30 字以内で具体的に述べよ。

設問4

Sシステムの構築について,(1)~(3) に答えよ。

(1) Y 社の提案について、登録された従業員だけがメールを閲覧できるようにするために図2中の LDAP サーバに従業員ごとに追加登録する内容を,20 字以内 で述べよ。

(2) Y 社の提案について,表中の下線3の特徴があるにもかかわらず,図 1 中の 5.9 の,ある規定の遵守が不十分な場合には,第三者にメールを閲覧される可能性がある。その箇条と項番を答えよ。また,その箇条と項番の規定に関連して, 第三者によるメールの閲覧防止を徹底する対策について, 50 字以内で具体的に 述べよ。

(3) Z 社の提案について,図2中の(a)と(B)で示した FV 間で特定のアプリケ ーションに絞って IPsec を適用するとしたとき,どのサーバ間の通信の,どの
プロトコルを対象にすればよいか。図2中又は表中の用語を用いて答えよ。

設問5

携帯電話端末へのメールの保存による情報漏えいを防ぐために,図 1 中の5.13(2) に追記したい。追記する内容を,45字以内で具体的に述べよ。

解答例

設問1

a:ウ
b:イ

設問2

(1)

①5.9(2)
②5.9(3)
③5.13(5)

(2)
情報:顧客の電話番号又はアドレス帳又はメールアドレス
対策:サーバにアドレス帳のバックアップをとり,漏れた電話番号が分かるよ
うにする。

設問3

  • 管理者がリモートから携帯電話の保存内容を削除できる機能
  • 管理者がリモートから携帯電話をロックできる機能

設問4

(1) 携帯電話の電子証明書のコモンネーム

(2)
箇条と項番:5.9
対策 :

  • 電子証明書を利用するための暗証番号が有効であることを携帯電話1台ずつについて上司が確認する。
  • 携帯電話の端末操作制限の暗証番号が有効であることを携帯電話1台ずつについて上司が確認する。
  • 携帯電話の端末操作制限機能やデータ保護機能を情報システム部門が有効にしてから貸与する。

(3)

サーバ間:2社提案ポータル サーバと メール サーバの問
プロトコル:IMAP

設問5

業務目的のメールを会社貸与の携帯電話の従業員用メールアドレスに転送することを禁止する。

出題要旨

出題趣旨 セキュリティポリシや対策標準があっても,それらの遵守が現実には思うようになされないことが多々ある。

本問では,セキュリティに関する規定からシステムまでの総合的な見直し力を問うために,電子メールからの情報漏えい対策を題材とした。システム構築に関しては,現状のネットワーク構成を理解した上での対応能力を問う。昨今,ビジネスですっかり身近になった携帯電話を採り上げることによって,受験者の周囲でも同様の問題に取り組むきっかけとしてもらいたい。

関連リンク

その他の過去問は下記リンクなどもご覧ください。
平成21年度秋期試験  問題冊子・配点割合・解答例・採点講評

タイトルとURLをコピーしました